Amélioration de la gestion des certificats de sécurité

Options de téléchargement

  • PDF     (216.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (178.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (254.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:1 août 2016
ID du document:200572

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit la fonctionnalité qui améliore l'expérience utilisateur et permet la suppression de certificat à l'échelle du cluster.

Conditions préalables

Conditions requises

Cisco vous recommande de connaître Cisco Unified Communication Manager (CUCM) version 11.0 et ultérieure.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Informations générales

Il existe certains certificats sur CUCM et IM&P qui sont répliqués de manière transparente (à l’insu de l’administrateur). Cela signifie que si un certificat est téléchargé par l'administrateur sur un serveur, il est transmis aux autres serveurs du cluster. Ceci est fait pour prendre en charge la fonctionnalité Extension Mobility Cross Cluster (EMCC).

Auparavant, dans un cluster gigantesque s'il était nécessaire de supprimer un certificat non requis, l'administrateur devait se connecter à chacun des serveurs et supprimer le certificat manuellement. En outre, si cela n'est pas fait dans une fenêtre spécifiée, le certificat supprimé peut réapparaître en raison du service CertSync qui s'exécute toutes les 30 minutes, ce qui garantit que le système de fichiers et les tables de certificats sont synchronisés. Pour éviter ce problème, les clients désactivent aujourd'hui le service CertSync sur tous les noeuds, suivi de la suppression de certificat sur tous les noeuds. Cela rend l'expérience utilisateur très mauvaise.

Avec la nouvelle amélioration de la fonctionnalité, de telles instances ne se produiront pas.

Cette amélioration de la gestion des certificats vous permet de supprimer automatiquement un certificat de tous les noeuds du cluster.

Lorsqu'un certificat est supprimé d'un noeud du cluster, il est supprimé de tous les autres noeuds du cluster.

Configuration

Sur Cisco Call Manager, accédez à Cisco Unified OS Administration > Sous Security > Certificate Management.

Sélectionnez le certificat à supprimer. Vous verrez ceci :

Une fois que vous avez cliqué sur OK, ces étapes se dérouleront comme suit :

1. Le certificat sera supprimé localement sur le serveur.

2. Si le certificat est supprimé avec succès, l'événement de plateforme est déclenché. Cet événement de plate-forme sera envoyé à tous les serveurs de la grappe (CUCM et IM&P). Les informations présentes dans l'événement de plateforme sont le type d'unité (CallManager, Tomcat ou Phone-SAST) ainsi que le nom du certificat (par exemple, RootCA.pem). L'événement de plate-forme nous permet de déclencher l'événement de suppression à l'échelle du cluster. 

L'opération de suppression de certificat ne s'applique qu'aux certificats suivants :

CUCM

1. tomcat-trust

2. CallManager-trust

3. phone-sast-trust

Messagerie instantanée et présence CUCM

1. tomcat-trust

Vérification

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Si les certificats des autres noeuds du cluster ne sont pas supprimés, collectez ces journaux à partir de RTMT, pour résoudre ce problème.

1. Event Viewer-Application Log (journal d’événements pour l’application)

2. Event Viewer-System Log (journal d’événements pour le système)

3. Journaux CertMgr de la plate-forme IPT

Exemple de message :

6 juillet 03:12:05 CM11 utilisateur 6 ilog_impl : Demande reçue pour platform-event (—no-wait platform-event-clusterwide-certificate-delete HOSTNAME=CM11Sub UNIT=tomcat-trust Type=certs-trust NAME=testcert.pem).

Ce journal indique qu'un événement a été reçu par les autres noeuds du cluster pour supprimer le certificat de test de certificat, lorsque le certificat est supprimé sur un noeud.

Dans les journaux certMgmt de l'opération de suppression :

Ce journal indique que cert Mgmt a reçu la demande de suppression du certificat certificate.pem dans tomcat_trust :

decode : true


op : supprimer


unité : tomcat-trust


keystoreUnit:tomcat-trust


logFile : /var/log/active/platform/log/cert-mgmt.log


resultFile : /var/log/active/platform/log/certde-info.xml


keyDir : /usr/local/cm/.security/tomcat/keys


certDir : /usr/local/cm/.security/tomcat/trust-certs/Certificate.pem

Ce journal indique que les certificats sont supprimés de la base de données :

2016-07-06 01:31:55,374 INFO [main] - IN — CertDBAction.java - deleteCertificateInDB(certInfo) -

TAC Authored

Contribution d’experts de Cisco

  • Somnath Gupta
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco